Как правильно отбиваться от ddos?

За день у меня в iptables прибавилось 20тыс /24 правил DROP, впс загружен под 90% , процесс ksoftirqd/0 съедает почти все ресурсы процессора.
netstat -atun | wc -l
показывает 2000 - 3000 соединений
Правильно ли я понимаю, что чем больше будет правил в iptables - больше тормозов? 20к правил для одноядерного впс это много/мало?
Может есть какой то более правильный путь блокировать ip?
  • Вопрос задан
  • 728 просмотров
Решения вопроса 1
@Zolg
За день у меня в iptables прибавилось 20тыс /24 правил DROP

Жесть жестокая.
Сделайте ОДНО правило для дропа. И ipset в который загоняйте ваши десятки тысяч адресов.
Будет работать существенно быстрее.

Но в целом, как и сказали выше - это не решение проблемы серьезного DDoS'а: если вам забили канал, то как трафик на хосте не обрабатывай канал это не освободит.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 5
martin74ua
@martin74ua
Linux administrator
udp flood. Самый обычный и простой. На ваш ип приходят ... ну скажем 10 мбит потоки от нескольких тысяч источников. Даже если вы все эти источники перечислите у себя в фаерволе, оптимизируете его через ipset - это не даст ничего. Этот трафик будет все равно приходить к вам на порт, дропаться на вашем фаерволе, но канал останется забитым. Решение - обратиться к компаниям, предоставляющим ddos защиту.
Если вас досят запросами на ваш сайт по http постоянными - то тут вы можете использовать фаервол. Но рекомендую использовать ipset для организации списков блокируемых адресов. 20к правил в фаерволе - это много.
Ответ написан
Комментировать
@MakarMS
Обычно, ddos делают с публичных прокси, и зачастую не российских. Попробуй поставить правила, по запросам. Например, больше 3 запросов в секунду, бан по ip на 5 минут. Очень много панелей управления позволяют устанавливать такие правила.
Ответ написан
Комментировать
@vitaly_il1
DevOps Consulting
Правильный способ - оутсоурсить эту защиту, посколько при более-менее серъезном DDoS и 64 процессора не помогут.
Из бесплатных простых решений - https://www.cloudflare.com.
Ответ написан
Комментировать
@oleg_ods
622278f116431928977096.jpeg

Неудержался)
Ответ написан
Комментировать
@Victor_koly
Защиту от DDOS я к сожалению слышал немного с другой стороны. Есть технология "DDoS blackhole routing/filtering". Но в моем случае её применял провайдер для защиты себя от DDOS, идущего от клиента. Да, это такой маленький провайдер, что его скажем со стороны Cogent или RETN смогли положить.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы